Postfix SMTP Relay auf vServer - Backup MX sinnvoll (nötig)
Hallo,
ich plane gerade den "Umbau" unseres E-Mail-Fluss für 25 User.
Zur Zeit haben wir folgendes:
ankommend
25 Postfächer bei einem Hoster
fetchmail holt per pop3 ab und übergibt an Postfix
Postfix scannt nach Viren und Spam und übergibt an einen Exchange
abgehend
Exchange übergibt an Postfix
Postfix scannt nach Virus und übergibt an Server des Hosters
Da wir unsere SPAM Abwehr verbessern wollen, z.B. SPAM gleich abweisen, hatte ich an einen "richtigen" SMTP gedacht.
Da unsere I-Net Leitung nicht die beste ist und Ausfälle schon mal vorkommen, will ich den SMTP auf einem vServer auslagern.
Aber wie fange ich z.B. den Wartungsfall ab, zweiter SMTP in die lokal DMZ?
Jetzt ist das ja recht einfacht, Fetchmail anhalten und schon kann die Wartung beginnen
Was haltet Ihr von meinem Plan? Sinnvoll?
LG Otto
ich plane gerade den "Umbau" unseres E-Mail-Fluss für 25 User.
Zur Zeit haben wir folgendes:
ankommend
25 Postfächer bei einem Hoster
fetchmail holt per pop3 ab und übergibt an Postfix
Postfix scannt nach Viren und Spam und übergibt an einen Exchange
abgehend
Exchange übergibt an Postfix
Postfix scannt nach Virus und übergibt an Server des Hosters
Da wir unsere SPAM Abwehr verbessern wollen, z.B. SPAM gleich abweisen, hatte ich an einen "richtigen" SMTP gedacht.
Da unsere I-Net Leitung nicht die beste ist und Ausfälle schon mal vorkommen, will ich den SMTP auf einem vServer auslagern.
Aber wie fange ich z.B. den Wartungsfall ab, zweiter SMTP in die lokal DMZ?
Jetzt ist das ja recht einfacht, Fetchmail anhalten und schon kann die Wartung beginnen
Was haltet Ihr von meinem Plan? Sinnvoll?
LG Otto
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 338778
Url: https://administrator.de/contentid/338778
Ausgedruckt am: 22.11.2024 um 07:11 Uhr
7 Kommentare
Neuester Kommentar
Hallo,
Und woher willst du wissen das es SPAM ist ohne dir den Inhalt angeschaut zu haben? Wenn du Mails gleich abweist (mit NDR oder ohne) wirst du nie feststellen ob dort SPAM enthalten war oder der Lottogewinn.
Gruß,
Peter
Und woher willst du wissen das es SPAM ist ohne dir den Inhalt angeschaut zu haben? Wenn du Mails gleich abweist (mit NDR oder ohne) wirst du nie feststellen ob dort SPAM enthalten war oder der Lottogewinn.
hatte ich an einen "richtigen" SMTP gedacht.
Was ist an Postfix denn "kein" richtiger Mailserver oder meintest du tatsächlich nur das Protokoll SMTP?Gruß,
Peter
Zitat von @Pjordorf:
Und woher willst du wissen das es SPAM ist ohne dir den Inhalt angeschaut zu haben? Wenn du Mails gleich abweist (mit NDR oder ohne) wirst du nie feststellen ob dort SPAM enthalten war oder der Lottogewinn.
Und woher willst du wissen das es SPAM ist ohne dir den Inhalt angeschaut zu haben? Wenn du Mails gleich abweist (mit NDR oder ohne) wirst du nie feststellen ob dort SPAM enthalten war oder der Lottogewinn.
Du kannst zu jedem Zeitpunkt innerhalb der SMTP-Transaktion eine E-Mail abweisen - auch, nachdem du den Inhalt empfangen (und geprüft) hast.
Mache ich auch so und ist die rechtlich sicherste Methode. Denn wenn du eine E-Mail nicht annimmst (also nicht mit 250 OK quittierst) gilt sie rechtlich und technisch nicht als zugestellt und der absendende Mailserver muss sich darum kümmern den Absender zu benachrichtigen.
Nimmst du die E-Mail an ist sie in deinem Besitz und wenn du sie dann nicht haben willst musst du sie trotzdem irgendwohin zustellen. Oder du generierst selber einen Bounce, aber diesen Backscatter will man ganz und gar nicht.
Ergo: Mail ablehnen wenn Spam/Viren/whatever drin ist, ist die beste Variante.
@Otto1699:
Für den Backup-Mailserver könnt ihr ja euren vorhandenen Postfix in die DMZ stellen und ihn so konfigurieren, dass er E-Mails per SMTP annimmt, aber auch gleichzeitig gegen den Exchange im Hintergrund prüft, ob der Empfänger vorhanden ist.
Allerdings müssten eure beiden MX möglichst identische Spam- und Virenprüfung machen, damit du nicht in das Problem der Backscatterei gerätst.
Hallo,
wenn du es richtig machen willst lass fetchmail weg. Einfach einen kleinen Linux mit Postfix als Eingangs/Ausgang Relay einrichten und den Exchange über die Firewall so abschotten das nur von eurem Postfix E-Mails per SMTP angenommen werden. Bitte aber folgendes beachten:
- Das DNS für das Relay muss sauber sein bezüglich vorwärts/rückwärts Auflösung (A,AAA,PTR und MX Records)
- Der Virenscanner frisst am meisten Leistung/RAM, bei der Dimensionierung darauf achten
- Den Wartungsfall für das Relay würde ich gar nicht berücksichtigen, E-Mail kommt mit Verspätungen sehr gut zurecht
- Ausfall eurer Leitung dahingehend berücksichtigen das z.B. die gültigen E-Mail Adressen auf den Postfix syncronisiert werden und nicht online beim Exchange abgefragt werden
Weitere Hinweise z.B. hier :
http://postfix.state-of-mind.de/patrick.koetter/mailrelay/
Gruß
Andi
wenn du es richtig machen willst lass fetchmail weg. Einfach einen kleinen Linux mit Postfix als Eingangs/Ausgang Relay einrichten und den Exchange über die Firewall so abschotten das nur von eurem Postfix E-Mails per SMTP angenommen werden. Bitte aber folgendes beachten:
- Das DNS für das Relay muss sauber sein bezüglich vorwärts/rückwärts Auflösung (A,AAA,PTR und MX Records)
- Der Virenscanner frisst am meisten Leistung/RAM, bei der Dimensionierung darauf achten
- Den Wartungsfall für das Relay würde ich gar nicht berücksichtigen, E-Mail kommt mit Verspätungen sehr gut zurecht
- Ausfall eurer Leitung dahingehend berücksichtigen das z.B. die gültigen E-Mail Adressen auf den Postfix syncronisiert werden und nicht online beim Exchange abgefragt werden
Weitere Hinweise z.B. hier :
http://postfix.state-of-mind.de/patrick.koetter/mailrelay/
Gruß
Andi
Hallo,
Du hast aber (wegen Hoster) das Problem, dass du maximal Spam (oder was du dafür erklärst) unterdrücken bzw. wegwerfen kannst ( Juristen fragen, die erklären dir die Zusammenhänge besser...)
Mails hast du mit dem Server (Hoster) der für dich zuständig ist schon mit dem "250 OK" des Hostermailers. Du darfst also nur noch Viren (in Quarantäne) aussortieren.
evtl bei https://www.heinlein-support.de/anti-spam nachlesen. Der Autor ist selbst Jurist.
Alternativ: Hosterserver anders einstellen ( Greylisting, SPF usw.) um Mails gar nicht erst anzunehmen.
Ansonsten, wenn dein lokaler Postfix mal ne Stunde weg ist, dann ist das eben so, wenn du ihn später wieder aktivierst macht er ja weiter...
Fred
Du hast aber (wegen Hoster) das Problem, dass du maximal Spam (oder was du dafür erklärst) unterdrücken bzw. wegwerfen kannst ( Juristen fragen, die erklären dir die Zusammenhänge besser...)
Mails hast du mit dem Server (Hoster) der für dich zuständig ist schon mit dem "250 OK" des Hostermailers. Du darfst also nur noch Viren (in Quarantäne) aussortieren.
evtl bei https://www.heinlein-support.de/anti-spam nachlesen. Der Autor ist selbst Jurist.
Alternativ: Hosterserver anders einstellen ( Greylisting, SPF usw.) um Mails gar nicht erst anzunehmen.
Ansonsten, wenn dein lokaler Postfix mal ne Stunde weg ist, dann ist das eben so, wenn du ihn später wieder aktivierst macht er ja weiter...
Fred
Eine ähnliche Umgebung lief hier über viele Jahre.
Feste IP, Reverse Auflösung eingerichtet.
Wenn das gegeben ist kann ein vollwertiger Mailserver eingerichtet werden.
Sollte auch nur einer dieser Punkte nicht erfüllt sein wird es etwas schwieriger aber nicht unlösbar.
Linux mit Mailserver der auf Empfänger prüft und dann an den internen Exchange weiterleitet.
Wichtig ist dass bereits dieser Linuxserver auf existierende Mailadressen prüft.
Der Exchange-Server empfängt/versendet seine Mails über den Linuxrechner und hat weder eingehend noch ausgehend Zugriff.
Einen Mailserver mit dynamic IP zu betreiben ist grundsätzlich möglich wenn die dynamische Adresse zuverlässig aktualisert wird.
Der Postausgang MUSS in so einem Fall über den Mailserver der Providers laufen aber das macht Ihr ja jetzt auch schon.
Begründung: Mailserver lehnen in den allermeisten Fällen die Annahme von Mail ab wenn
a: der Mailservername (Hostname) nicht mit der Reversen Nameauflösung übereinstimmt
b: die IP aus einem Dialinnetzwerk stammt.
Problem - Nichterreichbarkeit bei Leitungsausfall bzw. Wartung
Eigentlich sollten Mailserver in so einem Fall den Zustellversuch wiederholen, was der Großteil der Server auch macht.
Das heißt, Mailserver versuchen über einen definierten Zeitraum (abängig von der Konfiguration des Senderhost) die Mail zuzustellen. Nach einer definiert Zeit erhält der Absender eine Nachricht dass die Mail noch nicht zugestellt werden konnte.
Nach einer weiter Zeitspanne (auch wieder Abhängig von der Konfiguration des Senderhost) geht die Mail an den Sender zurück.
Meiner Beobachtung nach halten sie die großen Provider an dieses Schema.
Leider gibt es aber auch Mailserver die genau das nicht machen und die Mail beim ersten Fehlschlag an den Absender zurückgeben.
Immerhin hat der Absender dann die Mitteilung dass die Zustellung nicht erfolgreich war und kann entsprechend reagieren.
Eine weitere Konfiguration in einem privaten Umfeld läuft seit Jahren so.
Dynamische IP, Mailausgang über Host des Provider.
Probleme gab es bisher nie.
Gruß
Feste IP, Reverse Auflösung eingerichtet.
Wenn das gegeben ist kann ein vollwertiger Mailserver eingerichtet werden.
Sollte auch nur einer dieser Punkte nicht erfüllt sein wird es etwas schwieriger aber nicht unlösbar.
Linux mit Mailserver der auf Empfänger prüft und dann an den internen Exchange weiterleitet.
Wichtig ist dass bereits dieser Linuxserver auf existierende Mailadressen prüft.
Der Exchange-Server empfängt/versendet seine Mails über den Linuxrechner und hat weder eingehend noch ausgehend Zugriff.
Einen Mailserver mit dynamic IP zu betreiben ist grundsätzlich möglich wenn die dynamische Adresse zuverlässig aktualisert wird.
Der Postausgang MUSS in so einem Fall über den Mailserver der Providers laufen aber das macht Ihr ja jetzt auch schon.
Begründung: Mailserver lehnen in den allermeisten Fällen die Annahme von Mail ab wenn
a: der Mailservername (Hostname) nicht mit der Reversen Nameauflösung übereinstimmt
b: die IP aus einem Dialinnetzwerk stammt.
Problem - Nichterreichbarkeit bei Leitungsausfall bzw. Wartung
Eigentlich sollten Mailserver in so einem Fall den Zustellversuch wiederholen, was der Großteil der Server auch macht.
Das heißt, Mailserver versuchen über einen definierten Zeitraum (abängig von der Konfiguration des Senderhost) die Mail zuzustellen. Nach einer definiert Zeit erhält der Absender eine Nachricht dass die Mail noch nicht zugestellt werden konnte.
Nach einer weiter Zeitspanne (auch wieder Abhängig von der Konfiguration des Senderhost) geht die Mail an den Sender zurück.
Meiner Beobachtung nach halten sie die großen Provider an dieses Schema.
Leider gibt es aber auch Mailserver die genau das nicht machen und die Mail beim ersten Fehlschlag an den Absender zurückgeben.
Immerhin hat der Absender dann die Mitteilung dass die Zustellung nicht erfolgreich war und kann entsprechend reagieren.
Eine weitere Konfiguration in einem privaten Umfeld läuft seit Jahren so.
Dynamische IP, Mailausgang über Host des Provider.
Probleme gab es bisher nie.
Gruß